Mensaje de error: "Error al validar el certificado de servidor para el punto de conexión api.paloaltonetworks.com"
44478
Created On 01/21/22 04:06 AM - Last Modified 02/02/24 06:10 AM
Symptom
- Firewall configurado para enviar registros a Cortex Data Lake.
- Los registros no se envían a CDL
- Visualización del registro del agente LCASS "Certificado de servidor para api.paloaltonetworks.com de punto de conexión"
> tail follow yes mp-log lcaas_agent.log
.......
251 lcaas_agent ERROR Failed to fetch LCaaS server cert for validation check
252 lcaas_agent ERROR Failed to validate server certificate for endpoint api.paloaltonetworks.com
....Environment
- Palo Alto Firewalls
- PAN-OS 9.1 y superior
- Registros configurados para enviarse a Cortex Data Lake (CDL)
Cause
Este problema normalmente se debe a que el firmware no alcanza api.paloaltonetworks.com o lic.lc.prod.us.cs.paloaltonetworks.com.
Resolution
- Compruebe que la conectividad del firewall con el servicio de registro funciona correctamente. Consulte Solución de problemas de conectividad de firewall con el servicio de registro
- Pruebe la actualización de la licencia y el certificado mediante el comando
> request logging-service-forwarding certificate fetch-noproxy pre-shared-key xxxxxxxxxxxx
- Compruebe que se permiten los puertos TCP y los FQDN necesarios para CDL.
- Ejecute TCPDUMP en la interfaz de administración para capturar los paquetes y verificar el estado. (de forma predeterminada, el tráfico pasará a través de la interfaz FW MGT).
> tcpdump snaplen 0 filter "tcp port (3978 or 80 or 443 or 444) or udp port 53"
- Si las URL están bloqueadas por cualquier dispositivo intermedio, asegúrese de que la URL esté permitida. En el ejemplo anterior, "lic.lc.prod.us.paloaltonetworks.com" ha sido bloqueado.
- Para obtener más ayuda, abra un caso con Soporte .